الشهادات المخصصة مع ESET PROTECT On-Prem
إذا كانت لديك PKI الخاصة بك (البنية التحتية للمفتاح العام) وتريد ESET PROTECT On-Prem أن يستخدم الشهادات المخصصة للاتصال بين المكونات، فراجع المثال أدناه. يتم تنفيذ هذا المثال على Windows Server 2012 R2. قد تختلف لقطات الشاشة عن إصدارات windows الأخرى، ومع ذلك لا يتم تغيير الإجراء العام.
لا تستخدم شهادات بصلاحية قصيرة (مثل، Let's Encrypt صالحة لمدة 90 يوماً) لتجنب الإجراء المعقد لاستبدالهم المتكرر. |
يُمكنك استخدام OpenSSL لإنشاء شهادات جديدة موقّعة ذاتياً. لمزيد من المعلومات، راجع مقالة قاعدة المعارف. |
أدوار الخادم المطلوبة:
- خدمات مجال Active Directory.
- خدمات شهادات Active Directory مثبت عليها المرجع المصدق الجذر المستقل.
- افتح وحدة تحكم الإدارة وأضفالشهادات الإضافية:
- سجل الدخول إلى الخادم كعضو في مجموعة المسؤولين المحلية.
- قم بـ تشغيل mmc.exe لفتح وحدة تحكم الإدارة.
- انقر فوق الملف وحدد إضافة/إزالة أداة إضافية… (أو اضغط على CTRL+M).
- حدد الشهادات في الجزء الأيسر، ثم انقر فوقإضافة.
- حدد حساب الكمبيوتر، ثم انقر فوق التالي.
- تأكد من تحديد الكمبيوتر المحلي (الإعداد الافتراضي)، ثم انقر فوق إنهاء.
- انقر فوق موافق.
- إنشاء طلب شهادة مخصص:
- انقر نقراً مزدوجاً فوق الشهادات (الكمبيوتر المحلي) لتوسيعها.
- انقر نقراً مزدوجاً فوق شخصي لتوسيعها. انقر بزر الماوس الأيمن فوق الشهادات، ثم حدد جميع المهام > عمليات متقدمة، ثم اختر إنشاء طلب مخصص.
- ستنفتح نافذة معالج تسجيل الشهادة، ثم انقر فوق التالي.
- حدد الخيار المتابعة دون نهج تسجيل، ثم انقر فوق التالي للمتابعة.
- اختر (بلا قالب) مفتاح قديم من القائمة المنسدلة وتأكد من تحديد تنسيق الطلب PKCS #10. انقر فوق التالي.
- انقر فوق السهم لتوسيع قسم التفاصيل ثم انقر فوق الخصائص.
- في علامة التبويب عام، أدخل اسماً مألوفاً للشهادة الخاصة بك، كما يمكنك كتابة الوصف (اختياري).
- في علامة التبويب الموضوع، قم بما يلي:
في القسم اسم الموضوع، حدد اسم شائع من القائمة المنسدلة ضمن النوع وأدخل era server في حقل القيمة، ثم انقر فوق إضافة. سيظهر CN=era server في مربع المعلومات على الجانب. إذا كنت تقوم بإنشاء طلب شهادة لنوع عامل ESET Management era agent في حقل قيمة الاسم الشائع.
يجب أن يحتوي "الاسم الشائع" على أحد المقاطع التالية: "الخادم"، أو "العامل" " وفقاً لطلب الشهادة الذي تريد إنشاؤه. |
- في القسم الاسم البديل، اختر DNS من القائمة المنسدلة ضمن النوع وأدخل * (علامة نجمية) في حقل القيمة ، ثم انقر فوق الزر إضافة.
يجب تعريف الاسم البديل للموضوع (SAN) على أنه "DNS:*" لخادم ESET PROTECT ولجميع الوكلاء. |
- في علامة التبويب الامتدادات، قم بتوسيع القسم استخدام المفتاح بالنقر فوق السهم . أضف ما يلي من الخيارات المتاحة: توقيع رقمي، توافق المفاتيح، تشفير المفاتيح. إلغاء التحديداجعل استخدامات المفاتيح هذه ضرورية.
تأكد من تحديد هذه الخيارات الثلاثة ضمن استخدام المفتاح > توقيع شهادة المفتاح:
|
- في علامة التبويب المفتاح الخاص، قم بما يلي:
- قم بتوسيع القسم موفر خدمة التشفير بالنقر فوق السهم. ستظهر قائمة بموفري خدمات التشفير (CSP). تأكد من تحديد موفر التشفير Microsoft RSA SChannel (تشفير) فقط.
قم بإلغاء تحديد جميع موفري خدمات التشفير غير موفر التشفير Microsoft RSA SChannel (تشفير). |
- قم بتوسيع القسم خيارات المفتاح. في القائمة حجم المفتاح ، قم بتعيين قيمة بحد أدنى2048. حدد السماح بتصدير المفتاح الخاص.
- قم بتوسيع القسم نوع المفتاح، ثم حدد تبادل. انقر فوق تطبيق، ثم تحقق من الإعدادات الخاصة بك.
- انقر فوق موافق. سيتم عرض معلومات الشهادة. انقر فوق الزر التالي للمتابعة. انقر فوق استعراض لتحديد المكان الذي سيتم حفظ طلب توقيع الشهادة (CSR) فيه. اكتب اسم الملف وتأكد من تحديد Base 64.
- انقر فوق إنهاء لإنشاء CSR.
- لاستيراد طلب شهادة مخصص، اتبع الخطوات أدناه:
- افتح إدارة الخادم، وانقر فوق الأدوات > المرجع المصدق.
- في شجرة المرجع المصدق (محلي)، حدد الخادم الخاص بك (عادةً FQDN) > الخصائص ثم حدد علامة التبويب نهج الوحدة النمطية. انقر فوق الخصائص وحدد تعيين حالة طلب الشهادة على مُعلَّق. يجب على المسؤول إصدار الشهادة بشكل صريح. وإلا، لن يعمل على نحو صحيح. يجب عليك إعادة تشغيل خدمات شهادة Active Directory إذا كانت بحاجة إلى تغيير هذا الإعداد.
- في شجرة المرجع المصدق (محلي)، حدد الخادم الخاص بك (عادةً FQDN) > جميع المهام > إرسال طلب جديد...وانتقل إلى ملف CSR الذي تم إنشاؤه مسبقاً في الخطوة رقم 2.
- ستتم إضافة الشهادة ضمن الطلبات المُعلّقة. حدد CSR في جزء التنقل. في القائمة الإجراء، حدد جميع المهام > إصدار.
- قم بتصدير الشهادة المخصصة التي تم إصدارها إلى الملف .tmp.
- حدد الشهادات التي تم إصدارها في الجزء الأيمن. انقر بزر الماوس الأيمن فوق الشهادة التي تريد تصديرها، ثم انقر فوق جميع المهام > تصدير بيانات ثنائية.
- في مربع الحوار تصدير بيانات ثنائية، اختر شهادة ثنائية من القائمة المنسدلة. في خيارات التصدير، انقر فوق حفظ البيانات الثنائية في ملف، ثم انقر فوق موافق.
- في مربع الحوار "حفظ البيانات الثنائية"، انتقل إلى مكان الملف الذي تريد حفظ الشهادة فيه، ثم انقر فوق حفظ.
- قم باستيراد ملف ..tmp.
- انتقل إلى الشهادة (كمبيوتر محلي) > انقر بزر الماوس الأيمن فوق شخصي، ثم حدد جميع المهام > استيراد.
- انقر فوق التالي.
- حدد مكان الملف الثنائي .tmp باستخدام استعراض وانقر فوق فتح. حدد وضع كافة الشهادات في المخزن التالي > شخصي. انقر فوق التالي.
- انقر فوق إنهاء لاستيراد الشهادة.
- قم بتصدير الشهادة بما في ذلك المفتاح الخاص إلى الملف .pfx.
- في الشهادات (كمبيوتر محلي) قم بتوسيع شخصي وانقر فوق الشهادات، ثم حدد الشهادة الجديدة والتي تريد تصديرها، ومن القائمة إجراء ، حدد جميع المهام > تصدير.
- في معالج تصدير الشهادات، انقر فوق نعم، تصدير المفتاح الخاص. (سيظهر فقط هذا الخيار إذا تم تحديد المفتاح الخاص كقابل للتصدير وكان بإمكانك الوصول إلى لمفتاح الخاص.)
- ضمن تنسيق ملف التصدير، حدد تبادل المعلومات الشخصية -PKCS #12 (.PFX)، حد خانة الاختيار الموجودة بجانبتضمين جميع الشهادات في مسار الشهادة إن أمكن ثم انقر فوق التالي.
- كلمة المرور، اكتب كلمة مرور لتشفير المفتاح الخاص الذي تقوم بتصديره. في حقل تأكيد كلمة المرور، اكتب كلمة المرور ذاتها مرة أخرى، ثم انقر فوق التالي.
|
- اسم الملف، اكتب اسماً ومساراً للملف .pfx الذي سيقوم بتخزين الشهادة والمفتاح الخاص الذي تم تصديرهما. انقر فوق التالي، ثم انقر فوق إنهاء.
يوضح المثال أعلاه كيفية إنشاء شهادة عامل ESET Management. كرر الخطوات ذاتها لشهادات خادم ESET PROTECT. لا يمكنك استخدام هذه الشهادة لتوقيع شهادة جديدة في وحدة تحكم الويب. |
- تصدير المرجع المصدَّق:
- افتح إدارة الخادم، وانقر فوق الأدوات > المرجع المصدق.
- في شجرة المرجع المصدق (محلي)، حدد الخادم الخاص بك (عادةً FQDN) > الخصائص > علامة التبويب عام وانقر فوق عرض الشهادة.
- في علامة التبويب التفاصيل، ، انقر فوق نسخ إلى الملف. سيتم فتح معالج تصدير الشهادات .
- في نافذة تصدير تنسيق الملف، حدد ملف DER الثنائي X.509 (.CER) ثم انقر فوق التالي.
- انقر فوق استعراض لتحديد المكان الذي سيتم حفظ ملف .cer به ثم انقر فوق طلب توقيع الشهادة (CSR) فيه.التالي.
- انقر فوق إنهاء لتصدير المرجع المصدَّق.
للحصول على تعليمات خطوة بخطوة حول استخدام شهادات مخصصة في ESET PROTECT On-Prem، راجع الفصل التالي.